새로운 랜섬웨어 그룹에 의해 악용되는 빔 백업 소프트웨어
최근 보고에 따르면, 현재 패치가 완료된 Veeam 취약점이 EstateRansomware라는 새로운 위협 행위자 그룹에 의해 악용되고 있습니다. Veeam의 보안 결함은 백업 및 복제 소프트웨어에 존재하며, 악용될 경우 심각한 결과를 초래할 수 있습니다. 이 글에서는 이 취약점을 자세히 살펴보고 취약점이 발견된 방법, 공격 체인 등에 대해 집중적으로 살펴봅니다. 시작하겠습니다!
빔 취약점: 초기 발견
빔 취약점은 현재 CVE-2023-27532로 추적되고 있으며 중요 취약점 심각도 점수(CVSS)는 7.5입니다. 2024년 4월 싱가포르에 본사를 둔 Group-IB에서 Veeam 취약점 악용과 관련된 위협 행위자의 움직임을 처음 발견했습니다.
이 기관의 보안 연구원들은 위협 행위자가 처음 액세스 권한을 획득한 것은 포티넷 포티게이트 방화벽 SSL VPN 어플라이언스에 의해 촉진되었으며 휴면 계정이 사용되었다고 생각합니다. 보안 연구원인 여지 위는 다음과 같이 추가 인사이트를 제공했습니다:
"위협 행위자는 포티게이트 방화벽에서 SSL VPN 서비스를 통해 장애 조치 서버에 액세스하기 위해 측면으로 방향을 전환했습니다."
2024년 4월에 확인된 위협 행위자의 움직임은 "Acc1 "로 식별된 휴면 계정을 사용한 VPN 무차별 대입 공격 시도였습니다. 이 계정을 사용한 VPN 로그인 성공은 며칠 후 원격 IP 주소로 역추적되기도 했습니다.
부동산 랜섬웨어 공격 체인
공격 체인에 관한 한, 위협 행위자는 방화벽에서 장애 조치 서버로의 RDP 연결을 개발했습니다. 이 이니셔티브는 매일 실행되는 영구 백도어인 "svchost.exe" 로 이어졌습니다. 이 백도어는 또한 후속 액세스 및 탐지 회피를 용이하게 했습니다.
백도어의 주요 임무는 HTTP를 사용하여 명령 및 제어(C2) 서버에 연결하는 것이었습니다. 연결을 설정한 후에는 공격자의 지시에 따라 임의의 명령을 실행하는 데 사용되었습니다. 또한, 위협 행위자는 빔 취약점을 악용하여 백 서버에서 xp_cmdshell을 활성화하는 것을 목표로 했습니다.
이 작업은 "VeeamBkp "라는 악성 계정을 만들기 위해 수행되었습니다. 이 이니셔티브의 다른 목표는 네트워크 검색, 열거, 인증정보 수집을 수행하는 것이었습니다. 인증 정보를 획득하는 데 사용된 도구로는 NetScan, AdFind, NitSoft 등이 있습니다. 이러한 도구는 루즈 계정을 통해 액세스하고 사용했습니다.
랜섬웨어는 위협 행위자가 AD 서버에서 측면 이동을 수행하여 공격 표면을 확장한 후에 배포되었습니다. 그룹-IB는 이 수법에 대해 다음과 같이 설명했습니다:
"Windows Defender는 DC.exe [Defender Control]을 사용하여 영구적으로 비활성화된 후 PsExec.exe로 랜섬웨어를 배포하고 실행했습니다."
결론
빔 취약점에 대한 이러한 인사이트를 고려할 때, 사이버 범죄 활동은 이제 더욱 표적화되고 있다고 말할 수 있습니다. 위협은 다양한 공격 방법을 사용하여 자신을 차별화하고 있으며, 공격 전에 접근 권한을 확보하여 환경을 파악하는 데 열중하고 있습니다. 이러한 상황을 고려할 때 개인 사용자와 조직은 강력한 사이버 보안 프로토콜을 적용하여 위험을 낮추고 보안 태세를 개선해야 합니다.